Attacco ransomware tramite PEC – ATTENZIONE

Negli ultimi giorni, i ricercatori di Eset Italia hanno individuato un massiccio attacco ransomware tramite PEC pericolose con allegati in grado di infettare il sistema. In questa specifica campagna creata ad hoc per l’Italia, i cybercriminali stanno diffondendo delle Pec su larga scala riconducibili ad aziende “fantasma” in cui si fa riferimento a presunte fatture allegate in formato Pdf.

L’apertura di questi file innesca una payload che infetta il sistema ospite con un pericoloso RANSOMWARE in grado di codificare tutti i documenti della vittima rendendoli di conseguenza inaccessibili, se non previo pagamento del cosiddetto “riscatto”.

Una volta infetto ecco cosa compare:

Di seguito è riportato il tipico messaggio distribuito dai criminali a cui nella maggior parte dei casi viene allegato un file PDF infetto:

Buongiorno Allegata alla presente email Vi trasmettiamo copia Pdf di cortesia della fattura in oggetto. Documento privo di valenza fiscale ai sensi dell’art. 21 Dpr 633/72. L’originale e disponibile all’indirizzo telematico da Lei fornito oppure nella Sua area riservata dell’Agenzia delle Entrate.

Eset Italia consiglia di porre la massima attenzione anche ai messaggi PEC, di non aprire assolutamente il file “.pdf” o altri tipi di allegato se il mittente è sconosciuto o palesemente “falso”. Se al contrario il mittente fosse noto ma il contenuto della comunicazione risultasse sospetto o simile a quello appena riportato, è opportuno chiedere direttamente conferma di quanto inviato.

Inoltre, come in altri casi simili, è necessario:

  • Proteggere adeguatamente gli indirizzi email utilizzando una valida soluzione antimalware che integri un motore antispam;
  • Cambiare, se non si è già provveduto a farlo, le password dei propri account creandone di complesse e abilitando dove possibile l’autenticazione a due fattori;
  • Cambiare, se non si è già provveduto a farlo, le password dei propri account creandone di complesse e abilitando dove possibile l’autenticazione a due fattori;
  • Non utilizzare mai la stessa password per più servizi;
  • Provvedere periodicamente al backup del sistema e in particolare dei documenti e dei file più importanti;
  • Mantenere costantemente aggiornati il sistema operativo e la soluzione di sicurezza installata.

Come mitigare il rischio ransom

Di seguito si riportano alcune contromisure per contrastare il rischio.

  • Utilizzare password complesse ad esempio: “KA*ha78z12SDç%aki!”
  • Chiudere o filtrare le porte di comunicazione dei servizi, ad esempio la porta 3306 di mysql, che dovrebbe restare aperta solo ed esclusivamente per il web server su cui è situato il codice sorgente  dell’applicativo che interagisce con il database, ed al massimo all’indirizzo IP pubblico da cui si collega lo sviluppatore che per motivi di gestione e manutenzione dell’applicativo ha la necessità di connettersi direttamente al DB Mysql
  • Effettuare backup sia di tipologia file system che data base
  • Abilitare, ove possibile, autenticazioni di tipo Multi-factor (MFA)
Show CommentsClose Comments

Leave a comment